Rusia arresta a piratas informáticos vinculados a importantes ataques de ransomware en EE. UU., incluida la interrupción del oleoducto colonial

WASHINGTON—El gobierno ruso dijo el viernes que había arrestado a miembros del prolífico grupo criminal de ransomware conocido como REvil, al que se culpa de importantes ataques contra empresas estadounidenses e infraestructura crítica, interrumpiendo sus operaciones a pedido de las autoridades estadounidenses.

El servicio de seguridad de Rusia, el FSB, dijo en un comunicado de prensa en línea que detuvo las “actividades ilegales” de REvil y confiscó fondos pertenecientes al grupo de más de dos docenas de residencias en Moscú, San Petersburgo y otros lugares. Los miembros de REvil fueron arrestados en relación con cargos de lavado de dinero, dijo el FSB. No proporcionó los nombres de ninguno de los sospechosos.


Los arrestos incluyeron al “individuo responsable del ataque al Oleoducto Colonial la primavera pasada”, una ofensiva de ransomware particularmente devastadora que provocó el cierre del principal conducto de combustible en la costa este de EE. UU. durante días, dijo un alto funcionario de la administración de Biden. Una pandilla de ransomware ruso diferente había sido vinculada previamente al hack Colonial, pero los expertos en seguridad y los funcionarios han dicho que no están claramente definidos y que los piratas informáticos individuales a menudo se superponen.

“Agradecemos los informes de que el Kremlin está tomando medidas de aplicación de la ley para abordar el ransomware dentro de sus fronteras”, dijo el funcionario.

Deberías leer:   La electrónica aumentará a medida que los gigantes de chips como TSMC, Samsung aumenten los precios

TASS, la agencia de noticias estatal rusa, dijo que 14 miembros de REvil habían sido arrestados. Un video del gobierno ruso publicado en línea por TASS el viernes mostró clips de la policía rusa entrando por la fuerza en apartamentos, deteniendo a sospechosos cuyos rostros están borrosos y contando grandes fajos de moneda rusa y estadounidense. TASS identificó a una de las personas arrestadas como Roman Muromsky.


Los analistas dijeron que el momento de la acción fue notable porque llegó junto con las crecientes tensiones entre Rusia y Ucrania, ya que los esfuerzos de Estados Unidos y la OTAN para aliviar la situación hasta ahora parecen haber fallado.

“Esta es la diplomacia rusa de ransomware”, dijo Dmitri Alperovitch, presidente de Silverado Policy Accelerator, un grupo de expertos en seguridad cibernética con sede en Washington. “Es una señal para los Estados Unidos: si no promulga sanciones severas contra nosotros por la invasión de Ucrania, continuaremos cooperando con usted en las investigaciones de ransomware”.

El alto funcionario de la administración dijo que la represión del viernes “no está relacionada con lo que está sucediendo con Rusia y Ucrania”, y que Estados Unidos ha dejado claro qué sanciones enfrentará Moscú si invade a su vecino.

La embajada rusa en Washington se negó a comentar y solo se refirió al comunicado de prensa del FSB.

La operación contra REvil equivaldría a la acción más importante que Rusia ha tomado contra las bandas de ransomware que operan dentro de sus fronteras. El grupo es una de las pandillas de ransomware más notorias en Rusia y fue culpado por los grandes ataques del año pasado en los EE. UU. que interrumpieron las operaciones en un importante proveedor de carne, por lo que obtuvo un pago de rescate de $ 11 millones, y otro ataque que afectó a alrededor de 1,500 negocios

Deberías leer:   Sus jefes podrían tener un archivo sobre usted y pueden malinterpretarlo

Los funcionarios estadounidenses han acusado durante mucho tiempo a Rusia de afirmar que procesa a los piratas informáticos y otros delincuentes que luego liberan y reclutan para ayudar en las operaciones cibernéticas de su gobierno.

Si bien el arresto de 14 presuntos piratas informáticos de ransomware parece un avance significativo en las relaciones diplomáticas, puede ser simplemente un gesto de Rusia para aplacar a los EE. UU. antes de posibles sanciones relacionadas con Ucrania, dijo Gary Warner, director de inteligencia de amenazas con la ciberseguridad empresa DarkTower. “Probablemente no signifique que se haya abierto una nueva era de cooperación en ciberdelincuencia”.

Rusia dejó de cooperar con las autoridades estadounidenses en las investigaciones hace unos ocho años, en la época de la anexión de Crimea por parte de Rusia y las sanciones estadounidenses resultantes, dijo.

El año pasado, el presidente Biden identificó los ataques de ransomware que emanan de Rusia como una de las principales amenazas para la seguridad nacional, y ha presionado repetidamente al presidente ruso, Vladimir Putin, para que tome medidas enérgicas contra los grupos criminales de ransomware. El ransomware es un tipo de ciberataque malicioso que bloquea un sistema informático y retiene los datos hasta que la víctima paga un rescate, normalmente en criptomonedas.

Deberías leer:   Piratas informáticos prorrusos difunden engaños para dividir a Ucrania y sus aliados

Desde el verano pasado, funcionarios estadounidenses y rusos han sostenido varias conversaciones bilaterales para discutir el tema. Algunas de esas conversaciones incluyeron que EE. UU. compartió nombres e inteligencia específicos con Rusia sobre piratas informáticos identificados como operadores de ransomware, dijeron anteriormente funcionarios familiarizados con las conversaciones.

Los funcionarios estadounidenses han ofrecido en ocasiones mensajes mixtos sobre si los ataques de ransomware rusos han disminuido como resultado de los esfuerzos diplomáticos de la administración, pero hasta ahora ha habido poca evidencia pública de que Moscú esté cooperando.

El anuncio de la represión se produjo en medio de una creciente acumulación de tropas y equipos militares rusos en su frontera con Ucrania, ya que Estados Unidos y sus aliados occidentales han intentado sin éxito aliviar las tensiones entre los vecinos. Ucrania también dijo el viernes que había sido golpeada por un ataque cibernético que había desconectado varios de los sitios web de su gobierno. No estaba claro quién era el responsable.

Los ataques de ransomware están aumentando en frecuencia, las pérdidas de víctimas se están disparando y los piratas informáticos están cambiando sus objetivos. Dustin Volz de WSJ explica por qué estos ataques van en aumento y qué puede hacer Estados Unidos para combatirlos. Foto ilustrativa: Laura Kammermann

En su comunicado de prensa, el FSB dijo que había incautado el efectivo de REvil, las billeteras de criptomonedas utilizadas en las supuestas operaciones delictivas y 20 “automóviles premium” comprados con el dinero robado del grupo.

Descubierto por primera vez en la primavera de 2019, REvil se ha convertido en una de las familias de ransomware más frecuentes, dicen los expertos en seguridad. Básicamente, sus creadores alquilan su software malicioso, lo que permite que los piratas informáticos, llamados afiliados, que ya se han infiltrado en las redes corporativas, implementen el software.

Pero las operaciones del grupo han estado bajo la presión de las fuerzas del orden. En julio, el grupo cesó temporalmente sus operaciones y la persona anónima que había sido su portavoz desapareció de los foros en línea. El grupo volvió a estar en línea, solo para desaparecer nuevamente en octubre después de que se cerraron nuevamente sus operaciones en línea.

El Departamento de Justicia dijo en noviembre que había incautado $ 6,1 millones en moneda digital que, según dijo, estaba vinculada a las ganancias de un presunto operador de REvil y ciudadano ruso, Yevgeniy Polyanin, mientras revelaba una acusación en su contra.

La acción coincidió con el arresto en Polonia de un ciudadano ucraniano acusado de haber lanzado el ataque de ransomware REvil contra la empresa de tecnología Kaseya Ltd., que afectó a unas 1500 empresas, en su mayoría pequeñas y medianas, en julio. Europol, la agencia de aplicación de la ley de la Unión Europea, dijo al mismo tiempo que las autoridades de Rumania habían arrestado a otras dos personas en relación con REvil.

Escribir a Dustin Volz en dustin.volz@wsj.com y Robert McMillan en Robert.Mcmillan@wsj.com

Copyright ©2022 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8

Fuente: WSJ